深信服AC基础认证技术

,SANGFOR AC,基础认证技术,SANGFOR AC,认证功能介绍,所有计算机上网前必须通过,SANGFOR AC,的认证才可上网。通过认证功能用于识别内网上网用户的身份，为后续流量管理、用户上网权限策略及应用审计提供基础。,SANGFOR AC,的认证方式：,1,、不需要认证（,IP/MAC,绑定）,2,、密码认证（包括本地密码认证和第三方服务器认证）,3,、单点登陆,4,、,DKEY,认证,认证方式介绍,1,、不需要认证,设备根据数据包的源,IP,地址、源,MAC,地址、上网计算机的计算机名来识别用户。,不需要认证的识别方式，优点是用户上网前浏览器中不会弹出认证框，要求输入正确的用户名密码才能上网。因此用户不会感知到设备的存在。,认证方式介绍,当用户首次通过,AC,上网时，,AC,会要求用户提交用户名密码信息，如果用户提交的用户名密码信息和,AC,本机保存的信息一致时，给予认证通过。,用户名密码认证适用于内网用户,IP/MAC,不固定，或者内网存在第三方用户名密码认证服务器的网络环境。,可以手动在,AC,上新建用户名和密码，也可以直接沿用第三方认证服务器上的账号和密码,(SANGFOR AC,与第三方认证服务器结合，支持,LDAP,，,RADIUS,POP3,第三方服务器认证,),。,2,、密码认证,(,包括本地密码认证和第三方服务器认证,),认证方式介绍,3,、单点登录,当客户有自己的第三方认证服务器对内网用户进行认证时，单点登录可以实现在内网用户通过第三方认证服务器认证时自动通过,AC,设备的认证，并且获取到相关的权限上网。,SANGFOR AC,支持域单点登录，,POP3,单点登录，,PROXY,单点登录，,WEB,单点登录（后续,PPT,详细介绍相关功能和配置，此,PPT,不再累述）,认证方式介绍,4,、,DKEY,认证,SANGFOR,AC,提供上网认证的,DKEY,有两种，绿色的认证,KEY,和紫色的免审计,KEY,。,管理员生成,DKEY,，然后分发给用户。用户上网时，把,DKEY,插入个人电 脑，使用,DKEY,认证客户端提交认证信息，通过认证后才允许接入互联网。,DKEY,认证使用于对认证安全要求较高的网络环境，也适应于公司高层机密信息不被随意审计的情况。,认证方式介绍,绿色的是认证,KEY,，紫色的是免审计,KEY,，这两种,KEY,不能混淆。,AC,还有一种咖啡色的,KEY,，用于数据中心查询。,IP/MAC,认证场景,DKEY,认证场景,用户名密码认证场景,典型应用场景与配置,案例背景,某集团公司内部有办公区和公共上网区，要求实现办公区（,192.168.1.0/24,）用户上网不能修改,IP,和,MAC,地址，公共上网区（,192.168.2.0/24,）则需要输入账号和密码才能上网，确保网络行为能跟踪到，另外总经理的上网数据要保证安全，不能被审计到。,核心交换,防火墙,DMZ服务器,解决方案,根据客户需求，我们可以用如下方式来满足：,1,、办公区用户采用,IP/MAC,认证方式,2,、公共上网区采用密码认证，设置用户名和密码,3,、总经理使用免审计,KEY,上网，确保数据不被记录,核心交换,防火墙,DMZ服务器,配置思路,1,、新建认证策略,认证策略决定了某个,IP/,网段,/MAC,地址上计算机的认证方式。通过认证策略设置内网用户的认证方式，以及新用户添加的策略。,2,、手动新建用户或者自动添加新用户,新建用户，可编辑用户属性，定义用户具体的认证信息。包括用户名密码信息，启用,DKEY,以及,IP/MAC,绑定,如果采用自动添加新用户，在认证策略里开启和定义即可。,AC,几种认证方式中，,DKEY,认证在对应的用户属性中设置即可，不需要设置认证策略，且,DKEY,认证的优先级最高。,不需要认证、密码认证、单点登录这几种认证方式是由认证策略设置决定的。,配置步骤一（,IP/MAC,认证的用户）,1,、首先为办公区的用户建一个用户组,办公区用户,配置步骤一（,IP/MAC,认证的用户）,2,、配置认证策略,新增一个认证策略，选择认证方式，。需求是同时绑定,IP/MAC,，因此选择,IP/MAC,绑定，且绑定方式为用户和地址双向绑定。,开启新用户选项，自动添加新用户到办公区用户组。,配置步骤一（,IP/MAC,认证的用户）,注意：,如果,AC,和内网用户是跨三层环境，请开启,SNMP,功能实现,IP,和,MAC,的绑定,填入和,AC,相连的三层交换机的,IP,配置步骤二（用户名密码认证）,1,、新建密码认证用户的认证策略,配置步骤二（用户名密码认证）,2,、手动新增用户名密码认证的用户，设置用户名密码,配置步骤二（用户名密码认证）,3,、客户端输入用户名密码认证,当用户访问网站时，,AC,会重定,向一个认证的页面，如左图所示,，用户输入正确的用户名密码认,证后，才可以继续上网。,配置步骤三（,DKEY,认证的用户）,1,、新增,DKEY,认证的用户，手动生成,DKEY,勾选使用该,DKEY,登陆后，不,审计此用户的网络应用，则为,免审计,DKEY,，另外需要注意,的是点写入,DKEY,前需要先下,载并安装好,DKEY,驱动,配置步骤三（,DKEY,认证的用户）,2,、使用,DKEY,认证的用户，下载并安装,DKEY,客户端,http:/ACIP,配置步骤三（,DKEY,认证的用户）,3,、使用,DKEY,客户端进行认证,用户安装完,DKEY,客户端后，会在桌面生成图标。,把紫色,DKEY,插入电脑，双击图标，输入,DKEY,密码，认证成功后，桌面右下角图标会提示您：,“认证成功，您正处于不受监控状态,.”,练练手,某酒店内部是一个二层,DHCP,自动分配,IP,地址的网络（,192.168.1.0/24,），要求内部员工上网只能使用自己的电脑，确保网络行为能跟踪到人。客房区的用户需分配账号和密码才能上网，方便计费和管理。,您有什么样的方案能满足客户的需求呢？,我们的建议：,为酒店内部员工设置,IP/MAC,绑定的认证方式，只绑定,MAC,地址,其余用户使用用户名密码认证的方式,